1. ホーム
  2. 質問と答え
  3. 組織内のAWSユーザ向けにMFAを設定しようとしています

組織内のAWSユーザ向けにMFAを設定しようとしています

2017-09-25 11 views
0 
 { 
    "Version": "2012-10-17", 
    "Statement": [ 
    { 
     "Sid": "Stmt1506369084151", 
     "Action": [ 
     "iam:CreateVirtualMFADevice", 
     "iam:EnableMFADevice", 
     "iam:ListMFADevices", 
     "iam:ResyncMFADevice" 
     ], 
     "Effect": "Allow", 
     "Resource": "arn:aws:iam::account_#:user/user_name" 
    } 
    ] 
}

私は、このポリシーを使用して、ユーザーがMFAを自分でセットアップできるようにする必要があります。 ただし、このポリシーをテストすると(ユーザーの1人としてログインすると、目的のアクションを実行できません)組織内のAWSユーザ向けにMFAを設定しようとしています

ポリシースニペットには何がありますか?

PS:ポリシーは、ログインしようとするユーザーに関連付けられています。だからこの愚かな間違いは除外される。

出典

2017-09-25 Shabbir Bata

+0

は、あなたが「目的のアクションを実行することができません」によって何を意味するのか明確にしてくださいもらえますか?何をしていますか、どのようなエラーが表示されますか? –

+0

@JohnRotenstein IAMポリシーを設定して、ユーザーが自身のアカウント用にMFAを設定できるようにしようとしています。 ポリシーの検証中にエラーは表示されません。ポリシーが機能しないだけです。したがって、ユーザーはMFAをセットアップできません。 –

+0

MFAをセットアップしようとしたときに何をクリックしていますか?画面には何が表示されますか?ボタンは利用可能ですか?エラーメッセージは表示されますか? 「MFAを設定できません」より多くの情報を提供してください。 –

答えて

2

これが私の作品:

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
    { 
     "Sid": "AllowEnableResyncDeleteListMFA", 
     "Effect": "Allow", 
     "Action": [ 
     "iam:CreateVirtualMFADevice", 
     "iam:EnableMFADevice", 
     "iam:ResyncMFADevice", 
     "iam:DeleteVirtualMFADevice" 
     ], 
     "Resource": [ 
     "arn:aws:iam::AWS_ACCOUNT_ID:mfa/${aws:username}", 
     "arn:aws:iam::AWS_ACCOUNT_ID:user/${aws:username}" 
     ] 
    }, 
    { 
     "Sid": "AllowDeactivateMFA", 
     "Effect": "Allow", 
     "Action": [ 
     "iam:DeactivateMFADevice" 
     ], 
     "Resource": [ 
     "arn:aws:iam::AWS_ACCOUNT_ID:mfa/${aws:username}", 
     "arn:aws:iam::AWS_ACCOUNT_ID:user/${aws:username}" 
     ], 
     "Condition": { 
     "Bool": { 
      "aws:MultiFactorAuthPresent": true 
     } 
     } 
    }, 
    { 
     "Effect": "Allow", 
     "Action": [ 
     "iam:ListMFADevices", 
     "iam:ListVirtualMFADevices", 
     "iam:ListUsers" 
     ], 
     "Resource": "*" 
    } 
    ] 
}

出典

2017-09-25 21:58:11

+0

これが機能するには、最初にIAM ReadOnlyまたはIAMFullAccessをユーザープロファイルに許可する必要がありますか? –

+0

いいえ、私のポリシーで既に許可しているので何も許可する必要はありません –

+1

ありがとうございます。わたしにはできる。 また、このパートを追加して、ユーザーが他のサービスの使用を開始する前にMFA設定を適用することもできます。 '{ \t \t "シド": "DoNotAllowAnythingOtherThanAboveUnlessMFAd"、 \t \t "効果": "IAM::*"、 \t \t "リソース": \t \t、 "NotAction" "拒否" "*" を、 \t \t "条件":{ \t \t "NULL":{ \t \t "AWS:MultiFactorAuthAge": "真" \t \t \t \t} 012具体的には、他のAWSリソースに拒否するようにIAMポリシーのデフォルトは、すべてを否定されるので、\t \t \t} \t \t} ' –

関連する問題

 関連する問題